Lonjakan aktivitas hacktivist dilaporkan terjadi secara luas setelah operasi militer terkoordinasi antara Amerika Serikat dan Israel terhadap Iran yang dikenal dengan nama sandi Epic Fury dan Roaring Lion. Peneliti keamanan siber memperingatkan bahwa konflik geopolitik tersebut kini juga memicu eskalasi di ranah digital, dengan serangkaian serangan siber yang menargetkan organisasi pemerintah, infrastruktur publik, dan sektor industri di berbagai negara.
Laporan terbaru dari perusahaan keamanan siber Radware menyebutkan bahwa ancaman hacktivist di kawasan Timur Tengah menunjukkan pola yang sangat tidak seimbang, dengan dua kelompok utama yang mendominasi sebagian besar aktivitas serangan dalam periode singkat. Kelompok bernama Keymous+ dan DieNet dilaporkan bertanggung jawab atas hampir 70 persen seluruh aktivitas serangan yang tercatat antara 28 Februari hingga 2 Maret.
Serangan pertama dalam gelombang tersebut terjadi pada 28 Februari 2026 ketika kelompok Hider Nex, yang juga dikenal sebagai Tunisian Maskers Cyber Force, meluncurkan serangan distributed denial-of-service (DDoS). Menurut analisis dari Orange Cyberdefense, Hider Nex merupakan kelompok hacktivist asal Tunisia yang muncul pada pertengahan 2025 dan dikenal mendukung agenda pro-Palestina. Kelompok ini memanfaatkan strategi hack-and-leak, yakni menggabungkan serangan DDoS dengan pembobolan sistem untuk kemudian membocorkan data sensitif sebagai bagian dari kampanye geopolitik mereka.
Dalam periode empat hari tersebut, peneliti mencatat total 149 klaim serangan DDoS hacktivist yang menargetkan 110 organisasi berbeda di 16 negara. Aktivitas ini dilakukan oleh setidaknya 12 kelompok berbeda. Tiga kelompok utama Keymous+, DieNet, dan NoName057(16) secara kolektif menyumbang sekitar 74,6 persen dari seluruh aktivitas serangan yang teridentifikasi.
Distribusi serangan menunjukkan konsentrasi yang sangat tinggi di kawasan Timur Tengah. Dari seluruh klaim serangan yang tercatat, sebanyak 107 insiden terjadi di wilayah tersebut. Sebagian besar target adalah infrastruktur publik dan lembaga negara, menunjukkan bahwa konflik militer yang terjadi turut memicu respons digital dari berbagai kelompok hacktivist.
Secara geografis, tiga negara menjadi pusat utama serangan dalam periode tersebut. Kuwait mencatat sekitar 28 persen dari total klaim serangan, diikuti Israel dengan 27,1 persen dan Yordania dengan 21,5 persen. Sementara itu, wilayah Eropa mencatat sekitar 22,8 persen dari total aktivitas serangan global selama periode yang sama.
Jika dilihat dari sektor yang disasar, hampir setengah dari organisasi yang menjadi target berasal dari sektor pemerintahan. Sekitar 47,8 persen target secara global merupakan institusi pemerintah, diikuti sektor keuangan sebesar 11,9 persen dan sektor telekomunikasi sekitar 6,7 persen. Pola ini mencerminkan karakteristik serangan hacktivist yang sering kali berfokus pada simbol kekuasaan negara atau infrastruktur strategis yang memiliki dampak politik.
Radware menilai bahwa konflik yang berkembang di wilayah tersebut kini memperluas front digital bersamaan dengan eskalasi militer di lapangan. Aktivitas hacktivist tidak lagi terbatas pada satu negara atau satu target tertentu, melainkan berkembang menjadi kampanye yang melibatkan banyak kelompok dan menjangkau sejumlah negara secara simultan.
Selain kelompok yang paling dominan, beberapa kelompok lain juga tercatat terlibat dalam operasi siber yang bersifat disruptif. Data yang dihimpun oleh perusahaan intelijen ancaman seperti Flashpoint, Palo Alto Networks melalui tim Unit 42, serta Radware menunjukkan keterlibatan berbagai kelompok termasuk Nation of Saviors, Conquerors Electronic Army, Sylhet Gang, 313 Team, Handala Hack, Cyber Islamic Resistance, Dark Storm Team, FAD Team, Evil Markhors, dan PalachPro.
Sejumlah kelompok yang memiliki afiliasi atau simpati terhadap Rusia juga mengklaim telah melakukan intrusi terhadap jaringan militer Israel. Dua kelompok yang dikenal sebagai Cardinal dan Russian Legion menyatakan telah berhasil menembus jaringan militer Israel, termasuk sistem pertahanan rudal Iron Dome. Namun klaim tersebut belum diverifikasi secara independen oleh pihak lain.
Selain serangan DDoS dan defacement situs web, para peneliti keamanan juga mengamati munculnya kampanye phishing yang menargetkan pengguna ponsel di Israel. Peneliti dari CloudSEK melaporkan adanya aplikasi tiruan dari sistem peringatan darurat Israel, RedAlert, yang digunakan untuk mendistribusikan malware pengawasan.
Dalam kampanye tersebut, korban dimanipulasi untuk mengunduh file APK berbahaya dengan dalih pembaruan darurat selama masa konflik. Aplikasi tersebut menampilkan antarmuka sistem peringatan yang tampak sah, tetapi sebenarnya menyembunyikan mekanisme pengawasan yang mampu mengumpulkan data pengguna dan memonitor aktivitas perangkat secara diam-diam.
Di sisi lain, laporan dari Flashpoint juga menyebut bahwa Iran melalui Korps Garda Revolusi Islam (IRGC) melakukan serangan siber terhadap sektor energi dan infrastruktur digital di Timur Tengah. Target yang disebutkan dalam laporan tersebut termasuk fasilitas milik Saudi Aramco serta sebuah pusat data milik Amazon Web Services di Uni Emirat Arab. Serangan tersebut disebut bertujuan memberikan tekanan ekonomi global sebagai respons terhadap kerugian militer yang dialami Iran.
Perkembangan lain juga datang dari aktor yang dikenal sebagai Cotton Sandstorm, yang sebelumnya menggunakan identitas Haywire Kitten. Kelompok ini dilaporkan menghidupkan kembali persona lamanya yang dikenal sebagai Altoufan Team dan mengklaim telah meretas sejumlah situs web di Bahrain. Peneliti dari Check Point Software Technologies menilai langkah ini menunjukkan sifat kampanye siber yang sangat reaktif terhadap dinamika konflik di kawasan tersebut.
Analisis tambahan dari Nozomi Networks menunjukkan bahwa kelompok peretas yang diduga disponsori negara Iran, yang dikenal sebagai UNC1549 atau juga disebut GalaxyGato, Nimbus Manticore, dan Subtle Snail, merupakan salah satu aktor paling aktif pada paruh kedua tahun 2025. Kelompok ini diketahui menargetkan sektor pertahanan, industri kedirgantaraan, telekomunikasi, serta lembaga pemerintahan regional untuk mendukung kepentingan geopolitik Iran.
Ketegangan geopolitik tersebut juga berdampak pada ekosistem kripto di Iran. Sejumlah bursa kripto besar di negara tersebut tetap beroperasi tetapi mengumumkan penyesuaian operasional, termasuk penangguhan sementara atau penjadwalan ulang penarikan dana serta peringatan risiko bagi pengguna terkait kemungkinan gangguan konektivitas.
Menurut Ari Redbord dari TRM Labs, kondisi tersebut bukan menunjukkan pelarian modal secara besar-besaran, melainkan pasar yang sedang mengelola volatilitas di tengah gangguan konektivitas dan intervensi regulasi.
Perusahaan keamanan Sophos menyatakan bahwa meskipun terjadi lonjakan aktivitas hacktivist, mereka belum melihat peningkatan signifikan dalam tingkat risiko yang lebih luas. Sebagian besar aktivitas yang diamati berasal dari kelompok yang mendukung Iran, seperti Handala Hack dan APT Iran, dengan bentuk serangan berupa DDoS, defacement situs, serta klaim kompromi yang belum diverifikasi terhadap infrastruktur Israel.
Pemerintah Inggris melalui National Cyber Security Centre juga telah memperingatkan organisasi di berbagai sektor untuk meningkatkan kesiapan keamanan siber mereka. Lembaga tersebut menyoroti potensi serangan DDoS, aktivitas phishing, serta kemungkinan penargetan terhadap sistem kontrol industri (ICS).
Sentimen serupa disampaikan oleh para analis di SentinelOne yang menilai bahwa organisasi di Israel, Amerika Serikat, dan negara-negara sekutunya kemungkinan besar akan menghadapi penargetan langsung maupun tidak langsung. Sektor yang dianggap paling berisiko termasuk pemerintahan, infrastruktur kritis, sektor pertahanan, layanan keuangan, institusi akademik, serta media.
Para peneliti menilai bahwa aktor ancaman yang terkait dengan Iran telah lama menunjukkan kecenderungan untuk menggabungkan berbagai jenis operasi siber, mulai dari spionase digital, sabotase infrastruktur, hingga operasi psikologis yang bertujuan memengaruhi persepsi publik. Dalam situasi konflik yang tidak stabil, intensitas operasi semacam ini sering meningkat dan dapat meluas ke target di luar wilayah konflik utama.
Dalam konteks tersebut, organisasi di berbagai sektor disarankan untuk memperkuat pemantauan keamanan secara berkelanjutan, memperbarui intelijen ancaman, serta mengurangi permukaan serangan eksternal. Evaluasi terhadap eksposur aset digital, segmentasi jaringan antara sistem teknologi informasi dan teknologi operasional, serta isolasi perangkat IoT juga dinilai penting untuk mengurangi risiko kompromi.
Perkembangan terbaru ini menunjukkan bahwa konflik geopolitik modern tidak lagi terbatas pada medan perang fisik. Aktivitas hacktivist, operasi siber negara, serta kampanye disrupsi digital kini menjadi bagian integral dari dinamika konflik yang lebih luas, dengan dampak yang dapat menjangkau organisasi dan infrastruktur di berbagai negara.
